Sono arrivate anche in Italia le prime maxi sanzioni GDPR: il Garante Privacy ha multato Eni Gas e Luce (EGL) per 11,5 milioni di euro, con due sanzioni per gravi irregolarità nella gestione delle attività di teleselling e per l’attivazione di contratti non richiesti.
Come noto il GDPR comporta sanzioni molto più elevate rispetto al passato, avendo introdotto nuovi principi e maggiori diritti per i consumatori, e la possibilità per le Autorità di commutare multe fino a 20 milioni di euro (o fino al 4 per cento del fatturato). Sembrava finora che nel nostro Paese, in attesa delle nuove nomine del Collegio dei Garanti (da rinnovare già da giugno scorso), si fosse creata una situazione di stallo.
Invece, ecco la multa a EGL, a conferma del fatto che ispezioni e multe del Garante non si sono fermate. Applicando il Regolamento UE, EGL è stata multata per “l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche”, come riporta il sito del Garante.
Le sanzioni in tutto sono 2:
- La prima per 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e teleselling – per i quali erano arrivate al Garante diverse decine di segnalazioni e reclami. Dalle verifiche è emerso un circoscritto numero di casi rivelatori ma anche condotte “di sistema” poste in essere da EGL, con gravi criticità relative al generale trattamento dei dati. Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.
- La seconda per 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di EGL. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa. Le gravi irregolarità hanno interessato circa 7.200 consumatori. Dagli accertamenti dell’Autorità è emerso che le condotte adottate da EGL nell’acquisizione di nuovi clienti mediante alcune agenzie esterne operanti per suo conto, per modalità organizzative e gestionali, hanno determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.
Finora in Italia non erano arrivate sanzioni milionarie, a differenza di quanto stava invece succedendo in altri Paesi dall’avvio del nuovo regime introdotto dal GDPR.
Secondo il Rapporto Federprivacy pubblicato poche settimane fa, la situazione nel 2019 ha visto in Europa un importo totale di multe per 410 milioni di euro, con il Regno Unito al primo posto (312 milioni di euro di sanzioni proposte nell’anno dall’ICO UK – un importo elevato per le 2 multe andate a BA e Marriott), seguito da Francia, Austria e Germania, e l’Italia solo quinta, anche se con il maggior numero di sanzioni (30 sanzioni in tutto, per un valore totale di 4,3 milioni di euro).
L’Italia ha quindi confermato nel 2019 un buon livello di attività e, tra l’altro (come riferisce Federprivacy) avrebbe individuato nel 2019 779 contravventori su cui non ha ancora stabilito le sanzioni, per cui nel 2020 vedremo importi molto elevati (il primo, le sanzioni commutate a EGL).
Sempre dal rapporto Fedeprivacy, apprendiamo che, guardando alle tipologie di infrazione e ai vari settori alle quali sono state inflitte le multe, quasi la metà delle sanzioni (44%) hanno riguardato trattamenti illeciti dei dati; nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza; nel 9% dei casi le sanzioni sono collegate a omessa o inidonea informativa e nel 13% al mancato rispetto dei diritti degli interessati. Infine, il 9% delle sanzioni sono partite in seguito di incidenti informatici o data breach.
In termini di settori, numericamente il più colpito dalle multe legate al GDPR è quello della Pubblica Amministrazione (17% del totale delle sanzioni). Guardando però al valore economico complessivo delle sanzioni, la Pubblica Amministrazione è solo al sesto posto. Il settore più colpito è stato quello dei trasporti (quasi il 50% del totale delle sanzioni). I primi due settori (trasporti, alberghiero) hanno ricevuto il 74% delle multe inflitte.
Secondo invece la recente rilevazione DLA Piper, l’importo totale delle sanzioni per il GDPR ammonterebbe a 114 milioni di euro (in 20 mesi, quindi a partire da maggio 2018), dal momento che non vengono contate le due multe dell’ICO UK per 329 milioni di euro di luglio 2019 (in quanto dopo l’annuncio non sarebbe poi stato fatto niente per finalizzarle). Secondo lo studio di DLP Piper sarebbero state 160.921 le notifiche di data breach in Europa – con il maggior numero di violazioni individuate in Olanda (40.647) e a seguire Germania (37.636), Regno Unito (22.181), Irlanda (10.516) e Danimarca (9.806).
Guardando al dato delle violazioni a livello procapite (ogni 100 mila abitanti), al primo posto sempre l’Olanda (con 147,2 notifiche), seguita dall’Irlanda (132,5), Danimarca (115,4), Islanda (91,2), Finlandia (71,1).
Lo studio ha messo in luce una tendenza alla crescita di violazioni medie giornaliere, che sono passate da 247 (dal 25 maggio 2018 al 27 gennaio 2019) a 278 (dal 28 gennaio 2019 ad oggi), con un incremento del 13% circa.
Accedi al Rapporto Statistico 2019 “Sanzioni Privacy In Europa” a cura dell’Osservatorio di Federprivacy e allo studio “GDPR Data Breach Survey” di DLA Piper.
